C’est surtout avec le premier iPhone, il y a environ 12 ans, que la numérisation a offert de nouvelles opportunités aux entreprises comme aux autorités, dans des proportions inconnues jusqu’alors. La mobilité – qui s’étend depuis à un nombre d’applications de plus en plus important – ou l’utilisation croissante de solutions Cloud ont ouvert des perspectives d’utilisation des TIC dont on ne peut pratiquement plus se passer aujourd’hui. Aux yeux de Franz Grütter, coprésident du Groupe Parlementaire pour une Informatique Durable (Parldigi) qui rassemble tous les partis, il est clair que la numérisation «ne rend pas seulement les processus plus efficaces, mais apporte même des avantages supplémentaires aux citoyens et aux entreprises dans de nombreux domaines». Pour illustrer ses propos, il souligne «à quel point un décompte fiscal numérique est plus simple, de même que les échanges avec l’administration douanière, dès que ses procédures seront également entièrement numérisées».
La démocratie est-elle en danger?
En tout cas, il est également évident pour Parldigi qu’avec cette évolution, les risques d’abus ont augmenté. La sécurité informatique est capitale selon Grüter, qui fait référence «également aux données sensibles des autorités». Les conséquences seraient dramatiques si, par exemple dans le cas du vote électronique, la confidentialité et le secret du vote n’étaient pas assurés à tout moment: «Les systèmes non sécurisés auraient des conséquences fatales; cela remettrait en cause les valeurs fondamentales de notre démocratie».
Cette appréciation est partagée par l’Unité de pilotage informatique de la Confédération (UPIC), qui ajoute cependant que le défi «pour tous les exploitants d’infrastructures informatiques réside en premier lieu dans l’évolution de la technologie». «L’Internet des objets ou Bring your own device font que tous les exploitants informatiques sont confrontés à des questions qui ne se posaient pas il y a quelques années», nous explique Max Klaus, le directeur adjoint de la Centrale d’enregistrement et d’analyse pour la sécurité informatique (Melani) de la Confédération, et ce aussi au nom de l’UPIC. À cet égard, il faut tenir compte du fait que «la plupart des cyberattaques ne sont pas dirigées spécifiquement contre des branches ou des entreprises individuelles ou encore contre des autorités. Selon Klaus, les communes et les villes sont systématiquement exposées aux mêmes dangers que le secteur privé ou les personnes privées, par exemple.
Kidnappeurs et maîtres-chanteurs dans le cyberespace
Des attaques malveillantes qui ont eu lieu dernièrement au moyen de logiciels de chantage ont démontré jusqu’où les cybercriminels étaient prêts à aller. Ainsi, la Computer Security Incident Response Team de la Confédération (GovCERT.ch) étroitement liée à Melani vient juste de lancer une mise en garde en septembre contre de tels rançongiciels. Des cybercriminels avaient utilisé de faux e-mails au nom de l’Administration fédérale des contributions pour obtenir des réponses à des questions relatives à la déclaration d’impôt. D’après l’alerte, en cas de réponse à ces e-mails, les hackers tenteraient alors de prendre le contrôle de l’ordinateur via Teamviewer.
La plupart du temps, les attaques se font au moyen d’un e-mail qui contient généralement un lien vers un site web malveillant ou une pièce jointe nuisible. Mais depuis longtemps déjà, des accès à des ordinateurs déjà infectés sont également vendus sur le darknet. Ou alors des criminels scannent l’internet pour trouver des serveurs VPN ou des serveurs de terminaux ouverts, afin d’obtenir l’accès à ces serveurs en essayant de manière aléatoire et automatisée des mots de passe ou des clés.
La faille que constitue le facteur humain
Dès lors, ce n’est pas sans raison que Daniel Nussbaumer, le président de la Swiss Internet Security Alliance (SISA), le souligne: «L’un des plus grands dangers – que ce soit pour les administrations ou les entreprises – c’est le facteur humain». Au sein de la SISA, qui a été créée par d’éminents représentants du monde économique pour faire de la Suisse le pays le plus sûr du monde en matière d'internet, on a pu constater qu’un grand nombre des attaques actuelles tentaient d’exploiter cette faille. Le fait de cliquer sur un e-mail de phishing d’une prétendue connaissance, qui peut se présenter par exemple sous la forme d'une invitation de calendrier ou d'un lien vidéo, peut permettre la pénétration du logiciel malveillant. Il suffit souvent de prendre en considération des conseils simples, tels qu’ils sont proposés par le biais de la campagne iBarry, pour augmenter le niveau de protection de l’infrastructure informatique et pour sensibiliser les citoyens aux arnaqueurs en ligne et à leurs méthodes», selon Nussbaumer.
En revanche, le préposé zurichois à la protection des données, Bruno Baeriswyl, souligne la complexité qui augmente avec la numérisation, ainsi que les risques accrus qui en découlent. «Seule une petite partie des communes et des villes» est consciente de ces risques. Il mentionne également l’absence fréquente d’analyses de risque ou d'impact sérieuses sur la protection des données et le manque de transparence concernant les risques. Aucun responsable de la sécurité informatique n’a été défini et les leaders politiques ne sont pas impliqués dans la responsabilité. En outre, des «budgets sont examinés dans de nombreux cas pour de grands projets de numérisation, sans que des ressources appropriées ne soient mises à disposition pour la protection et la sécurité des données».
Lignes de défense dans la cyberguerre
Peter Kölsch, responsable informatique pour la ville de Wetzikon, n’est pas encore tombé entre les griffes des criminels. Toutefois, il sait lui aussi que ce calme peut être trompeur. L’une des mesures importantes prises par la ville a été la «castration» de la totalité du matériel informatique, selon ses dires. Tous les collaborateurs utilisent les données d’un centre de calcul par le biais d’une infrastructure basée sur Citrix; cela est également valable pour les appareils mobiles à usage privé. Un seul appareil mobile à usage privé est autorisé par collaborateur. Ainsi, les répertoires locaux, les disques durs et les clés USB sont interdits dans le bureau à domicile. En outre, le WIFI urbain a été séparé du WIFI public, et celui qui désire travailler à distance doit utiliser une authentification à deux facteurs. Kölsch renvoie également à la coopération étroite avec l’exploitant du centre de calcul RIZ (centre informatique régional). Une utilisation restrictive d’applications y est implémentée. De plus, la configuration de directives locales en matière de pare-feu réduit les possibilités d’attaque et complique la prise de contrôle totale du domaine et de ses systèmes de la même manière que d’autres mécanismes de sécurité rendent très complexe la poursuite du déplacement des hackers dans le réseau.
De manière générale, Wetzikon est techniquement relativement bien préparé aux cyberattaques selon Kölsch. Toutefois, cela ne change rien au fait que l’humain reste une faille. Il n’est pas nécessaire d’ouvrir tous les e-mails et certaines tâches, comme le verrouillage de l’écran lorsqu’on quitte le bureau et la fermeture de porte, doivent tout simplement être exécutées manuellement. La sensibilisation des collaborateurs est donc la tâche de sécurité informatique la plus importante pour faire face aux attaques. D’après son expérience, la meilleure solution pour y parvenir est de faire prendre conscience des dangers de la cybercriminalité de la manière la plus pratique possible.
